markvp

Cosė ho rubato 8 milioni di record

Accade in Florida, dove un amministratore di database ha fatto man bassa di milioni di record per rivenderli a un broker. Il motivo erano i dollari. Tanti dollari

Tampa - Concetto sconosciuto, quello della privacy, per William Gary Sullivan. Lavora lavorava come database administrator in Florida, presso Certegy Check Services, un'azienda consociata di Fidelity National Information Services.

Sullivan, approfittando dei privilegi amministrativi derivanti dalla sua posizione, nell'arco di cinque anni ha sottratto 8 milioni e 400 mila record stipati negli archivi elettronici dell'azienda e li ha rivenduti a un data broker, ricavando dall'illecita attività la bellezza di 580 mila dollari. Il maltolto comprende nomi, indirizzi, userID, password e numeri di carte di credito, secondo quanto riferiscono gli atti ufficiali.

Un giochino che potrebbe costargli 10 anni di galera e 500 mila dollari di multa. Se gli andrà meglio sarà solo perché l'azienda ha acconsentito all'irrogazione di pene inferiori in cambio dell'ammissione di colpevolezza. Naturalmente, previa restituzione del "maltolto" e pieno risarcimento delle possibili vittime, racconta Channel Register.
La strategia di Sullivan poggiava su un intrigo ingegnoso: per far perdere le sue tracce, aveva creato una ditta di copertura chiamata S&S Computer Services, che vendeva i dati ad un complice incensurato. Secondo quanto riferiscono gli inquirenti, questo complice rivendeva a sua volta i dati ai venditori diretti, compresa tale Strategia Marketing, azienda conosciuta anche come Suntasia.

Lo schema è stato svelato a luglio, quando Fidelity ha scoperto che un suo impiegato aveva fatto perdere le sue tracce, insieme a oltre due milioni di record. L'azienda è stata avvertita del furto da un cliente che ha notato una "correlazione tra un certo numero di transazioni e il comparire di telefonate di tentata vendita e di materiale pubblicitario inviato tramite posta ordinaria". In seguito, l'azienda ha quantificato in un totale di quasi 8 milioni e mezzo i record "asportati".
Alla società non risultano, al momento, furti di identità o altre attività fraudolente derivate dalla vicenda, ritenendo che i dati possano essere stati usati solo a scopo di direct marketing.

Alan Bentley, Vice President di Lumension Security, si dichiara sconcertato della facilità con cui il database administrator abbia potuto asportare dati sensibili e avverte le aziende che tali episodi sono esempi di come sia possibile agire impunemente in ambienti non adeguatamente protetti.

La vicenda inevitabilmente richiama alla mente le cifre poco rassicuranti che aleggiano sul fenomeno del furto di identità e al cui rischio, anche se mitigato da recenti novità legislative, sono comunque esposti tutti i nominativi trafugati.

Marco Valerio Principato

17 Commenti alla Notizia Cosė ho rubato 8 milioni di record
Ordina
  • A mio avviso queste cose succedono quotidianamente, cioè il passare nominativi e non certo agratis.
    Spiegatemi perché dopo 3 giorni che ho registrato mio figlio all'anagrafe hanno cominciato ad arrivarmi pubblicità sui neonati. E non poteva essere l'ospedale perché è un'adozione. Che abbiano la boccia di cristallo?
    non+autenticato
  • Vero, da quando ho fatto la patente, mi sono arrivate a casa pubblicità riguardanti auto e assicurazioni...
  • Misteri... la telecom telefona sul cellulare privato di mia madre per informarla degli interventi... da notare che è intestato a MIO nome e non sono certo io quello a cui arrivano le bollette...

    Certo che il GAYrante della privacy dev'essere un bel lavoro di tutto riposo...
    non+autenticato
  • - Scritto da: efdsyhhgxja z
    > Certo che il GAYrante della privacy dev'essere un
    > bel lavoro di tutto
    > riposo...

    Se t'informassi, sapresti che le autorità garanti (per la privacy, per la concorrenza, per le comunicazioni) in Italia lavorano, e tanto. Ma per intervenire sui singoli casi hanno bisogno delle segnalazioni (non hanno la sfera di cristallo). Tu hai denunciato il caso al garante? Oppure speri che succeda la stessa cosa a qualcun altro con più coraggio?
    non+autenticato
  • Alan Bentley, Vice President di Lumension Security, si dichiara sconcertato della facilità con cui il database administrator abbia potuto asportare dati sensibili...

    ma per fare il database admin devo poter accedere a sti dati... e una volta che li ho, al limite ne posso copiare qualcuno a mano (tanto ai "direct marketing" bastano gli email..)
  • - Scritto da: ishitawa
    >
    > ma per fare il database admin devo poter accedere
    > a sti dati... e una volta che li ho, al limite ne


    Rotola dal ridere
  • > ma per fare il database admin devo poter accedere
    > a sti dati... e una volta che li ho, al limite ne
    > posso copiare qualcuno a mano (tanto ai "direct


    il DBA e' un'arma Sorride
    non+autenticato
  • Non è chiaro..

    Che senso ha che lui ha "asportato" 8 milioni di record..

    Cos'è ha fatto CTRL-X invece che CTRL+C ??

    E' un pirla!!
    Quindi il meccanismo con cui l'hanno scoperto non è chiaro

    E' oscUro!
    non+autenticato
  • Mi sembra davvero strano che una societa' che gestisca un database con tanti dati al suo interno non abbia il minimo di misure di sicurezza che ogni buon ing.informatico o database designer, etc. sa che deve mettere in atto ... tipo criptare tutti i dati sensibili ed averli in nodi separati (se parliamo di clustered db) ...

    sono perplesso, ancora una volta si dimostra che l'informatica e' in mano a tanti amatori e non professionisti con adeguata preparazione accademica com'e' giusto che sia. O sono solo io e l'azienda per cui lavoro che ci facciamo ste menate sulla sicurezza?
    non+autenticato
  • Beh l'amico come admin aveva accesso ai dati è normale...

    Rimane il dubbio sul fatto che abbia cancellato i dati...

    E soprattutto a che serve una società di copertura? Alla fine chiunque COMPRI dati sensibili comprensivi di numeri di carte di credito stà eseguendo un illecito quindi un passamano di un dvd se non una pennetta usb sarebbe stato sicuramente meglio.

    Troppe falle mi sa di bufala questa notizia.
    non+autenticato
  • Avrebbe fatto del tutto per comportarsi Bene.

    Come sempre la minaccia numero 1 viene dall'interno.
    E al 90 % sono i dipendenti insoddisfatti !
    non+autenticato
  • - Scritto da: Marco Marcoaldi
    > Avrebbe fatto del tutto per comportarsi Bene.
    >
    > Come sempre la minaccia numero 1 viene
    > dall'interno.
    > E al 90 % sono i dipendenti insoddisfatti !

    Per 50mila dollari al mese, ti riscrivo a mano tutti e 8 milioni di record!A bocca aperta
    non+autenticato
  • - Scritto da: Marco Marcoaldi
    > Avrebbe fatto del tutto per comportarsi Bene.

    Evviva, e' rrivata la fiera dell'ovvieta'.
    non+autenticato
  • - Scritto da: Marco Marcoaldi
    > Avrebbe fatto del tutto per comportarsi Bene.
    >
    > Come sempre la minaccia numero 1 viene
    > dall'interno.
    > E al 90 % sono i dipendenti insoddisfatti !

    E direi di no, si chiama avidita, perche' secondo il tuo ragionamentop i nostri dipendenti politici, visti i privilegi che hanno, dovrebebro fare dell'italia il paese di bengodi.

    Io per lavoro tratto la stampa dei pin delle carte di credito, ora mi ci vorrebbe poco a raccattare pin e nominativi, ma perche' non lo faccio? perche' non sono ingordo anche guadagnando il normale e ho paura delle conseguenze legali
    DuDe
    896
  • - Scritto da: DuDe
    > Io per lavoro tratto la stampa dei pin delle
    > carte di credito, ora mi ci vorrebbe poco a
    > raccattare pin e nominativi, ma perche' non lo
    > faccio? perche' non sono ingordo anche
    > guadagnando il normale e ho paura delle
    > conseguenze legali

    Se davvero tu sei in grado di fare una cosa del genere, i tuoi clienti sono da denuncia per non aver diviso la gestione dei PIN da quella dei numeri di carte di credito.
    Ma francamente, non credo che sia vero.
    non+autenticato
  • - Scritto da: precisino
    > - Scritto da: DuDe
    > > Io per lavoro tratto la stampa dei pin delle
    > > carte di credito, ora mi ci vorrebbe poco a
    > > raccattare pin e nominativi, ma perche' non lo
    > > faccio? perche' non sono ingordo anche
    > > guadagnando il normale e ho paura delle
    > > conseguenze legali
    >
    > Se davvero tu sei in grado di fare una cosa del
    > genere, i tuoi clienti sono da denuncia per non
    > aver diviso la gestione dei PIN da quella dei
    > numeri di carte di
    > credito.
    > Ma francamente, non credo che sia vero.

    leggi bene, ho detto pin e nominativi, e non pin e carta la carta viaggia separata dal pin ed il pin viaggia separato dalla carta, pero il pin e' nominativo come la carta quindi sulla busta contenete il pin c'e' l'indirizzo ed il nome della persona che ha richiesto una certa carta.
    DuDe
    896
  • - Scritto da: DuDe

    > ho paura delle conseguenze legali

    questa...
    non+autenticato